Jakten på eksponerte enheter
- Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender for Servers Plan 1 & 2
Bruk avansert jakt for å finne enheter med sårbarheter
Avansert jakt er et spørringsbasert trusseljaktverktøy som lar deg utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler. hvis du vil Mer informasjon om avansert jakt, kan du se Oversikt over avansert jakt.
Tips
Visste du at du kan prøve alle funksjonene i Microsoft Defender Vulnerability Management gratis? Finn ut hvordan du registrerer deg for en gratis prøveversjon.
Skjematabeller
DeviceTvmSoftwareInventory – beholdning av programvare installert på enheter, inkludert versjonsinformasjon og status for slutt på støtte.
DeviceTvmSoftwareVulnerabilities – programvaresårbarheter som finnes på enheter og listen over tilgjengelige sikkerhetsoppdateringer som løser hvert sikkerhetsproblem.
DeviceTvmSoftwareVulnerabilitiesKB – kunnskapsbase for offentliggjorte sårbarheter, inkludert om utnyttelse av kode er offentlig tilgjengelig.
DeviceTvmSecureConfigurationAssessment – Defender Vulnerability Management-vurderingshendelser, som angir status for ulike sikkerhetskonfigurasjoner på enheter.
DeviceTvmSecureConfigurationAssessmentKB – kunnskapsbase for ulike sikkerhetskonfigurasjoner som brukes av Defender Vulnerability Management til å vurdere enheter; omfatter tilordninger til ulike standarder og benchmarks
DeviceTvmInfoGathering - Vurderingshendelser, inkludert status for ulike konfigurasjoner og angrepsoverflatetilstander for enheter
DeviceTvmInfoGatheringKB - Liste over ulike konfigurasjons- og angrepsoverflatevurderinger som brukes av Defender Vulnerability Management-informasjonsinnsamling for å vurdere enheter
Kontroller hvilke enheter som er involvert i varsler med høy alvorlighetsgrad
Gå til Jakt>avansert jakt fra venstre navigasjonsrute i Microsoft Defender portalen.
Bla gjennom avanserte jaktskjemaer for å gjøre deg kjent med kolonnenavnene.
Skriv inn følgende spørringer:
// Search for devices with High active alerts or Critical CVE public exploit let DeviceWithHighAlerts = AlertInfo | where Severity == "High" | project Timestamp, AlertId, Title, ServiceSource, Severity | join kind=inner (AlertEvidence | where EntityType == "Machine" | project AlertId, DeviceId, DeviceName) on AlertId | summarize HighSevAlerts = dcount(AlertId) by DeviceId; let DeviceWithCriticalCve = DeviceTvmSoftwareVulnerabilities | join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId | where IsExploitAvailable == 1 and CvssScore >= 7 | summarize NumOfVulnerabilities=dcount(CveId), DeviceName=any(DeviceName) by DeviceId; DeviceWithCriticalCve | join kind=inner DeviceWithHighAlerts on DeviceId | project DeviceId, DeviceName, NumOfVulnerabilities, HighSevAlerts
Beslektede emner
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for